Program Ganjaran Pepijat

TradingView

Jika anda ingin memberitahu kami tentang kerentanan, sila serahkan laporan melalui HackerOne.

Skop kepada program

Kami menawarkan ganjaran untuk laporan yang dapat memberikan maklumat mengenai kelemahan keselamatan dalam perkhidmatan, infrastruktur dan aplikasi kami seperti:

TradingView.com dan sub-domain

Aplikasi asli iOS

Aplikasi asli Android

Penyelesaian pencartaan

Aplikasi atas meja

Ganjaran

Ganjaran anda akan bergantung kepada kelemahan yang dijumpai dan juga impaknya terhadap keselamatan. Lihat perincian di bawah.

Tinggi

Untuk kelemahan yang memberi kesan kepada seluruh platform kami

  • Remote code execution (RCE)
  • Mendapatkan akses admin
  • Suntikan dengan impak ketara
  • Akses tanpa batasan ke dalam fail tempatan atau pangkalan data.
  • Server-side request forgery (SSRF)
  • Pendedahan maklumat kritikal

Medium

Untuk kelemahan yang tidak memerlukan interaksi pengguna dan memberi kesan kepada banyak pengguna

  • Stored Cross - Site Scripting (XSS) dengan impak ketara
  • Pintasan tulen yang membenarkan perubahan data pengguna untuk mengakses data peribadi
  • Insecure Direct Object References (IDOR)
  • Pengambilan semula subdomain

Rendah

Utuk kelemahan yang memerlukan interaksi pengguna atau memberi kesan kepada pengguna individu

  • Cross-Site Scripting (XSS), kecuali self-XSS
  • Cross-Site Request Forgery (CSRF)
  • Penghalaan semula URL
  • Manipulasi reputasi pengguna

Perhatian bahawa jumlah ganjaran boleh jadi berbeza. Ganjaran sebenar mungkin berbeza-beza bergantung pada tahap kesulitan, keaslian dan kemungkinan eksploitasi pepijat serta persekitaran dan faktor lain yang boleh mempengaruhi keselamatan.

Kelemahan servis bantuan seperti Blog dan kelemahan persekitaran bukan pengeluaran seperti 'beta', 'pementasan', 'demo' dan lain-lain hanya akan diberikan ganjaran apabila ia mempengaruhi perkhidmatan kami secara keseluruhan atau boleh menyebabkan data sensitif pengguna mengalami kebocoran.

Peraturan

  1. Laporan pepijat hendaklah memasukkan huraian terperinci kerentanan yang ditemui dan langkah yang perlu diambil untuk mengeluarkannya semula atau pembuktian konsep yang berfungsi. Jika anda tidak menghuraikan perincian kerentanan tersebut maka ia boleh mengambil masa yang lama untuk menyemak semula laporan dan/atau boleh mengakibatkan penolakan laporan anda.
  2. Sila hanya hantarkan satu kerentanan untuk setiap laporan, kecuali jika anda perlu menyambungkan kerentanan-kerentanan untuk memberikan impak.
  3. Hanya orang yang pertama yang melaporkan kerentanan yang tidak diketahui akan diberikan ganjaran. Apabila ada beberapa yang sama, kami hanya akan memberikan ganjaran kepada laporan yang pertama jika kerentanan dapat dilaksanakan semula sepenuhnya.
  4. Anda tidak boleh menggunakan alatan automatik dan pengimbas untuk mencari kelemahan. Laporan tersebut tidak akan diterima.
  5. Anda mestilah tidak melakukan sebarang serangan yang boleh merosakkan perkhidmatan atau data termasuk data pelanggan. DDoS, spam, serangan bermotifkan kekerasan adalah tidak dibenarkan.
  6. Anda tidak sepatutnya melibatkan pengguna lain tanpa kebenaran yang jelas daripada mereka. Mencipta idea peribadi, skrip dan kandungan lain semasa ujian anda.
  7. Anda tidak boleh melakukan atau cuba melakukan serangan bukan teknikal seperti kejuruteraan sosial (cth. phishing, vishing, smishing) atau serangan fizikal terhadap pekerja kami, pengguna atau infrastruktur secara umum.
  8. Sila berikan laporan terperinci dengan langkah-langkah yang boleh dilaksanakan semula. Jika laporan tidak cukup terperinci untuk melaksanakan semula isu, isu itu tidak layak untuk mendapat ganjaran.
  9. Pelbagai kerentanan terjadi disebabkan satu isu dalaman akan diberikan satu ganjaran.
  10. Sila lakukan yang terbaik untuk mengelakkan pelanggaran privasi, kerosakan data, dan gangguan atau penurunan kepada servis kami.

Kerentanan di luar skop

Isu-isu ini dikira berada di luar skop:

  • Kerentanan di dalam perisian milik pengguna atau kerentanan yang memerlukan akses penuh terhadap perisian pengguna, akaun, emel, telefon dll.
  • Kerentanan atau kebocoran di dalam perkhidmatan pihak ketiga.
  • Kerentanan atau versi lama perisian/protokol pihak ketiga, terlepas perlindungan dan juga pelencongan daripada amalan terbaik yang tidak menghasilkan ancaman keselamatan;
  • Kerentanan yang tiada impak keselamatan yang mendalam atau kemungkinan ekploitasi.
  • Kerentanan yang memerlukan pengguna untuk melaksanakan tindakan di luar jangka.
  • Penyebaran maklumat awam atau yang tidak-sensitif.
  • Serangan homograf.
  • Kerentanan yang memerlukan peranti yang diakar, jailbrake atau peranti dan aplikasi yang diubah.
  • Apa-apa aktiviti yang boleh membawa kepada gangguan servis kami.

Berikut ialah beberapa contoh untuk kerentanan yang tidak diberikan ganjaran:

  • Data geolokasi EXIF tidak dibuang.
  • Clickjacking pada halaman dengan tiada tindakan sensitif.
  • Cross-Site Request Forgery (CSRF) pada borang yang tak disahkan atau borang dengan tiada tindakan sensitif, log keluar CSRF.
  • Sifer lemah atau konfigurasi TLS tanpa satu Bukti Konsep yang berfungsi.
  • Isu spoofing kandungan atau penyuntikan tanpa menunjukkan satu vektor serangan.
  • Isu penghad kadar atau daya kasar pada titik akhir bukan pengesahan.
  • Kehilangan HttpOnly atau bendera Keselamatan pada kuki.
  • Pendedahan versi perisian. Isu pengenalan sepanduk. Mesej ralat deksriptif atau tajuk (cth. kesan tindanan, aplikasi atau ralat pelayan).
  • Kerentanan hari kosong umum yang mempunyai tampung rasmi pada masa kurang daripada 1 bulan akan dinugerahkan pada keadaan kes demi kes.
  • Tabnabbing
  • Kewujudan pengguna. Penghitungan pengguna, e-mel atau nombor telefon.
  • Kekangan kesulitan disebabkan kekurangan kata laluan.

Pemburu ganjaran

Kami ingin mengucapkan ribuan terima kasih terhadap sumbangan para penyelidik yang tersenarai di bawah.

card-icon

Abhishek

card-icon

Vikram Naidu

card-icon

Faeeq Jalali

card-icon

Pascal Zenker

card-icon

Sahil Mehra

card-icon

Shivam Kamboj Dattana

card-icon

Aaron Luo

card-icon

Maxence Schmitt

card-icon

Sumit Jain

card-icon

Ali Tütüncü

card-icon

Kitab Ahmed

card-icon

Jatinder Pal Singh

card-icon

Eugen Lague